aaSSfxxx's blog

aaSSfxxx se remet au sport

aaSSfxxx — Wed, 08 Feb 2023 20:04:00 +0100

Après presque deux ans a n'avoir rien glandé (hormis ma participation à deux ou trois CTF cette année) et rien écrit sur mon blog, il est temps de passer aux choses sérieuses, et faire un petit article histoire de se remettre au sport.

Comme certains l'ont remarqué sur ~~les toilettes des Internets~~ Twitter ainsi que Discord, je m'amuse en ce moment à installer des vieux UNIXes qui datent pour certains d'avant ma naissance, principalement pour le lulz.

Je suis donc tombé sur un ensemble d'images de disquettes pour installer un SCO UNIX 3.2v4.2, sauf que manque de bol, le serial donné sur WinWorld ne fonctionnait pas, et de même pour un lâcher de serial keygennés sur un obscur post de newsgroup datant de l'époque des dinosaures. Comme tout bon reverser qui se respecte, péter du serial est une raison de vivre, du coup let's go au pays des merveilles.

Debug ton Windows comme un pro

aaSSfxxx — Mon, 24 May 2021 17:41:00 +0200

Yolo les saloupiauds, aujourd'hui on va parler de debugging de drivers Windows (et donc de WinDBG). Pour se remettre dans le contexte, j'ai décidé de convertir une image disque de mon vieux PC sous Windows XP de mon adolescence en machine virtuelle sous libvirt (Qemu avec l'hyperviseur KVM), et l'opération s'est bien passée. Cependant, lorsque j'ai voulu installer le driver vidéo QXL pour avoir le redimensionnement automatique de l'écran de la VM, le driver refusait mystérieusement de démarrer. J'ai donc décidé de sortir l'artillerie lourde, et analyser le chargement du driver avec WinDBG.

Avant de rentrer dans le vif du sujet, j'en profite pour mentionner ma chaîne Vimeo qui contient quelques vidéo troll avec des bouts de hack puissant dedans.

Write-UP AeroCTF 2021: BashD00r (500 pts)

aaSSfxxx — Tue, 02 Mar 2021 21:54:00 +0100

Ce challenge est le deuxième challenge que j'ai pu résoudre à l'AeroCTF, et un des plus difficiles du CTF (seulement 2 solves en comptant le mien). L'énoncé était le suivant.

There seems to be something wrong with our bash.

Can you see if anyone has entered the backdoor?

bash.7z

On nous donne une archive qui contient un binaire nommé "bash". Il s'agit d'un GNU bash mais backdooré, et on devra trouver la backdoor pour obtenir le flag.

Write-UP INCTF: Jazz

aaSSfxxx — Mon, 03 Aug 2020 15:11:00 +0200

J'ai participé ce samedi au CTF InCTF avec la team "ret2school", où j'ai résolu le challenge de reversing "Jazz", qui valait 900 points à la fin du CTF. Il s'agit d'un crackme en Rust, ce merveilleux langage, générant du code assez atroce à analyser. Muni de mon IDA Home, je me lance donc à l'attaque de ce crackme.

Write-UP AeroCTF 2020: Go away

aaSSfxxx — Sun, 01 Mar 2020 14:31:00 +0100

Ce writeup porte sur le challenge le plus difficile que j'ai fait sur le CTF (m'ayant occupé quelques heures pour le casser). A première vue, on a un binaire "obfusqué", qui fait des appels système à mmap et mprotect: on pense tout de suite à un packer, et il va donc falloir l'unpacker.

Write-UP AeroCTF 2020: 1000 and 1 nights

aaSSfxxx — Sun, 01 Mar 2020 09:02:00 +0100

Suite à ma participation au CTF AeroCTF 2020, j'en profite pour faire un writeup sur un des challenges "simples", "1000 and 1 night".

Pour ce challenge, on récupère une archive comportant beaucoup de fichiers, dont le nom semble être un hash. Chaque fichier est fichier un programme ELF x86_64. De …

Ursnif: analyse du loader (partie 2)

aaSSfxxx — Sat, 22 Feb 2020 15:26:00 +0100

Cet article fait suite à mon précédent article, et concernera l'analyse du dernier binaire extrait. Ce fichier se présente (encore) sous la forme d'une DLL. La DLL fait ses initialisations habituelles (création d'un objet Event pour notifier le bot lorsque la DLL est en train d'être déchargée, détection de la version de Windows et ouverture d'un handle sur son propre process).

Ursnif: analyse du loader

aaSSfxxx — Sun, 26 Jan 2020 12:00:00 +0100

Après une période de hiatus encore plus longue que ceux de l'auteur de Hunter x Hunter, je me décide enfin à rescussiter mon blog (et mon dépôt). Cet article (ainsi que les suivants) redeviendront en français

Entrons directement dans le vif du sujet, c'est-à-dire l'analyse du bot Ursnif, en particulier du loader dans ce premier article. Le sample étudié est disponible sur any.run, s'appelle "osdjhbfowjndbherfvo.bin" (et hash 1da2adf65ab9d928cf4996a4151b0de2a5649d7454556f2c3ab81322d14213a4).

Breaking Cerber strings obfuscation with Python and radare2

aaSSfxxx — Sat, 16 Apr 2016 16:22:00 +0200

Finally after almost two years of inactivity, I finally motivated myself and decided a new article on this blog ! In this article, I'll show how to use radare2 and especially its Python bindings to write a little tool able to decode a large part of Cerber ransomware encrypted strings, thanks …

Hiding code in ELF binary

aaSSfxxx — Wed, 11 Dec 2013 19:59:00 +0100

Since I'm contributing to the radare2, I'm learning on how a disassembler works, and especially how ELF files are handled by disassemblers. I saw that almost (even every ?) disassemblers rely on ELF section headers (generally located at the end of the file), which has never used in reality (by Linux kernel or glibc) because ELF's mapping in memory is given by program header (another ELF structure, which I described in my article about ELF packer

So, we can easily hide code from disassemblers by manipulating virtual address fields of the ".text" section structure. I'll use an hexadecimal editor and the latest git revision of radare2 (which fixes a bug related to virtual address calculation in ELF binary), so I recommend you to have those tools installed of your computer to continue the reading of this article.

Making ELF packer for fun and chocapicz (part 2)

aaSSfxxx — Fri, 17 May 2013 14:34:00 +0200

As promised, here is the second article about my ELF packer.
Here, I'll talk about dynamically-linked ELF (i.e. which has dependencies to ".so" modules), which is more tricky than the "basic" packer I showed before. The code is still NASM, and still under 32bit (feel free to rewrite the code to support 64-bit architecture ;))

Making ELF packer for fun and chocapicz

aaSSfxxx — Tue, 07 May 2013 18:51:00 +0200

I recently decided to make an ELF packer, in order to learn some cool stuff about Linux kernel and ELF format, so I'll write 2 or 3 articles in this blog to explain some stuff I discovered. To write this article, I use NASM and a x86 linux kernel (yeah guys, I'm still on a x86 archlinux). But before, let's listen to some music

Andromeda 2.07 analysis

aaSSfxxx — Sat, 23 Mar 2013 17:13:00 +0100

Hi folks !
As it's spring (and I've not written something for a while), malwares get updated, and this is also the case for Andromeda which got an update. I know I already wrote something about previous version, but this version has some fun tricks, so let's reverse it to see these tricks :)

POS Malware / RAM Scrapper

aaSSfxxx — Sun, 27 Jan 2013 19:32:00 +0100

For this first english article, I'll talk about a RAM scrapper I found in the wild (and because Xylitol asked me to write an article about POS malware :þ).

Analyse de andromeda (suite)

aaSSfxxx — Mon, 31 Dec 2012 11:30:00 +0100

Comme promis dans mon précédent billet, j'ai poursuivi (motivé à coup de chocapicz et de techno bourrine, enfin bref passons) ma quête du Graal, c'est-à-dire la poursuite de l'analyse de Andromeda Bot.
Je pense que cette analyse ennuyeuse à mourrir pour le commun des mortels ravira les reverseurs de malwares …

Analyse de Andromeda Bot (analyse du loader)

aaSSfxxx — Sun, 16 Dec 2012 00:00:00 +0100

Dans cet article, je vais détailler l'analyse d'un sample d'Andromeda, étant donné qu'il existe peu de littérature à ce sujet. Ce bot a été vraisemblablement écrit en assembleur, et est capable de détecter les machines virtuelles, s'injecter dans d'autres processus comme nous le verrons dans cet article. Je me baserai ici sur le sample que m'a gentiment donné Horgh, en passant rapidement sur l'unpacking du sample.

Reversing de faggoterie

aaSSfxxx — Sat, 10 Nov 2012 15:39:00 +0100

Ce matin, en naviguant sur HackerzVoice, j'ai l'agréable surprise de tomber sur ce magnifique post (qui a été supprimé depuis):

Bref, on se rend bien compte que ce genre de trucs seem legit, du coup let's reverse it ;).
Après un petit coup d'oeil avec IDA, on se rend compte que le machin a été écrit en AutoIT (lol), so on télécharge myAutToExe pour récupérer le code de l'exécutable, code qui possède une obfuscation assez lame (gros blocs de variables useless en plein milieu du code). On va donc nettoyer le code (la partie ennuyeuse du truc).

First steps in ring0

aaSSfxxx — Sun, 15 Jul 2012 10:51:00 +0200

Ceux qui me croisent sur IRC savent que je commence à me mettre (timidement) à la programmation ring0 sous Windows (the real life, je jouerai avec le kernel linux un peu plus tard peut-être, quand je serai réapprovisionné en chocapicz).
Cet article se veut être une initiation au monde merveilleux qu'est le noyau Windows et ses drivers, monde merveilleux où un BSOD arrive très vite cependant.

Devant l'enthousiasme général, je vous propose donc de me suivre dans cette longue quête du Graal.

Les "hackers" mainstream : réflexion autour de la naissance des "lamerz"

aaSSfxxx — Tue, 10 Jul 2012 15:55:00 +0200

Je sais déjà que le titre de cet article fera frémir certains, rire d'autres, ou choquera certains puristes. Certains se demanderont quelle quantité de chocapicz et autres stupéfiants j'ai pu absorber lors de l'écriture de cet article, et rassurez-vous, je suis parfaitement lucide pour écrire cet article.

Cet article a pour but (du moins je l'espère) de démystifier la scène "lamerz", et d'appréhender comment ceux-ci ont bien pu arriver là.

Nouveau thème

aaSSfxxx — Sun, 08 Apr 2012 12:29:00 +0200

Après une longue période d'hibernation de ma part sur mon blog (étant principalement plus actif à glander sur IRC en ce moment), je me suis décidé à changer le thème de mon blog, qui comme vous pouvez le constater, est assez minimaliste.

En effet, je pense qu'il est bon de revenir à des interfaces simples, et facilement lisibles plûtot qu'un thème encombré, avec plein d'images partout et qui mets beaucoup de temps à charger pour les petites connexions (par exemple wifi public ou encore connexion G), étant donné que l'essentiel d'un blog et surtout son contenu, et non son contenant.

Contourner les protections anti-désassembleurs

aaSSfxxx — Sun, 04 Dec 2011 08:56:00 +0100

Dans le monde du reverse-engineering, c'est-à-dire l'art d'analyser le fonctionnement d'un binaire dans notre cas, on peut trouver des protections différentes, allant du chiffrage du programme (ou de sa compression) à la détection de débuggeurs (outils servant à contrôler le flux d'exécution d'un programme, l'arrêter à certains endroits). Une autre technique, qui sera celle montrée ici est le fait de rendre les désassembleurs incapables de retrouver le code assembleur d'un binaire.

Nous allons donc voir ici comment analyser ce genre de programmes, et comment contourner cette protection à travers un exemple simple pour commencer.

Prérequis:

Savoir manier un éditeur hexadécimal, connaître les instructions assembleur de base, avoir quelques notions en cracking/reverse-engineering.

Reverse de malware Android

aaSSfxxx — Wed, 26 Oct 2011 14:36:00 +0200

Bonjour à tous!

Ayant analysé un malware Android (nommé operaandroidi14.apk) que j'ai téléchargé par hasard sur le Net, j'ai donc décidé d'expliquer comment reverser un malware android à partir d'un exemple concret.
Ce malware nous propose de télécharger le navigateur Opera gratuitement (alors que celui-ci est disponible sur Internet), cependant, l'application effectue quelques actions à l'insu de l'utilisateur avant de donner le lien de téléchargement d'une version d'Opera (très certainement backdoorée...).
Je présenterai donc ici la structure d'une application Android, avant d'attaquer le reversing du malware, et la collecte d'informations sur son créateur.

La redondance de l'information

aaSSfxxx — Sat, 01 Oct 2011 17:58:00 +0200

J'écris ce billet pour déjà donner signe de vie (pas vraiment eu le temps de rédiger quoi que ce soit avec ma rentrée en MPSI) et surtout, pour parler d'un problème qui est vite agaçant lors d'une recherche: l'absence de redondance de l'information.
Ne vous est-il jamais arrivé de faire une recherche sur Internet, de suivre un lien sur un forum qui menait sur un site qui a entre temps fermé et qui était le seul à proposer une solution convenable ?

En vrac

aaSSfxxx — Thu, 11 Aug 2011 12:12:00 +0200

Pour ce premier billet du mois d'août, je ne me suis pas cassé la tête (han pas bien!), et malgré mon manque d'inspiration pour publier un billet correct, je publie quand-même un billet avec des idées (et des musiques) en vrac.
A noter que je ne suis pas disponible pendant une grande partie du mois d'août, ce billet risque d'être le seul du mois.

On aime (pas) la publicité !

aaSSfxxx — Sat, 30 Jul 2011 18:39:00 +0200

Ce billet a évidemment pour sujet ... la publicité (normal vu que c'est le titre de ce billet). Force est de constater que la publicité devient de plus en plus omniprésente, quitte à devenir un modèle économique (et oui Facebook, Twitter et autres sites ou services "gratuits" que nous utilisons sont financés grâce à la publicité).
Nous avons donc demandé à Félix le chat d'enquêter sur ce phénomène, qui mériterait à lui seul des livres entiers.

Javascript: Evaluer du code sans eval()

aaSSfxxx — Sun, 17 Jul 2011 12:40:00 +0200

Des connaissances du langage Javascript peuvent être nécessaires pour la compréhension de cet article

Traditionnellement, on utilise la fonction eval() pour évaluer un morceau de code javascript. Or cette fonction est bien souvent bloquée par la plupart des filtres anti-XSS rudimentaires. Il existe cependant beaucoup de techniques permettant de passer au travers de ces filtres, et de parvenir malgré tout à exécuter le code de notre choix.
Nous allons donc survoler ici quelques méthodes permettant de contourner les filtres anti-XSS.

Humour: Comment être populaire auprès des tapz

aaSSfxxx — Tue, 05 Jul 2011 19:17:00 +0200

Cet article est évidemment à prendre au second degré, même si certains conseils sont malheureusement applicables.

Être populaire, voilà le rêve de beaucoup de personnes! ~~C'est ce que propose ce blog pour 5€ par mois~~. Plus sérieusement (ou pas, faut pas exagérer non plus), ce billet permet de dégager certains …

Digital Rabbits

aaSSfxxx — Mon, 04 Jul 2011 18:31:00 +0200

J'ouvre la partie "Musiques" de ce blog avec une découverte: il s'agit de "Digital Rabbits", un artiste russe (et oui, j'ai un penchant pour tout ce qui provient de l'Europe de l'Est). Bref, son album s'appelle "Crazy Rabbits" (un fan des lapins on va dire), qui a la particularité d'être …

Comment devenir un hacker

aaSSfxxx — Sat, 02 Jul 2011 16:52:00 +0200

Cet article a pour but de vous expliquer comment "devenir" un hacker. Cependant, si vous cherchez à pirater MSN, facebook ou d'autres conneries du genre, allez voir ici si j'y suis. Si vous n'êtes pas dans ce cas, ce qui suit vous sera certainement utile pour découvrir le passionnant monde des hackers.

Premier article

aaSSfxxx — Sat, 02 Jul 2011 13:49:00 +0200

Bonjour à tous!
Ceci est mon premier billet sur ce blog (il faut bien commencer par quelque chose!).
Ce blog parlera entre autres de tous les sujets qui me passionnent (hacking/programmation, musique, etc...)
En attendant, je pense que certaines personnes sont assez intriguées par ce pseudonyme pour le moins …